TAC:区块链安全入门笔记(五)

虽然有着越来越多的人参与到区块链的行业之中，然而由于很多人之前并没有接触过区块链，也没有相关的安全知识，安全意识薄弱，这就很容易让攻击者们有空可钻。面对区块链的众多安全问题，慢雾特推出区块链安全入门笔记系列，向大家介绍区块链安全相关名词，让新手们更快适应区块链危机四伏的安全攻防世界！系列回顾：区块链安全入门笔记(一)|慢雾科普区块链安全入门笔记(二)|慢雾科普区块链安全入门笔记(三)|慢雾科普区块链安全入门笔记(四)|慢雾科普异形攻击AlienAttack

异形攻击(AlienAttack)实际上是一个所有公链都可能面临的问题，又称地址池污染，是指诱使同类链的节点互相侵入和污染的一种攻击手法，漏洞的主要原因是同类链系统在通信协议上没有对不同链的节点做识别。这种攻击在一些参考以太坊通信协议实现的公链上得到了复现：以太坊同类链，由于使用了兼容的握手协议，无法区分节点是否属于同个链，利用这一点，攻击者先对以太坊节点地址进行收集并进行恶意握手操作，通过跟节点握手达成污染地址池的目的，使得不同链的节点互相握手并把各自地址池里已知的节点推送给了对方，导致更多的节点互相污染，最终扩散致整个网络。遭受异形攻击的节点通常会通信性能下降，最终造成节点阻塞、主网异常等现象。相关公链需要注意持续保持主网健康状态监测，以免出现影响主网稳定的攻击事件出现。具体详情可参考慢雾安全团队技术Paper：冲突的公链！来自P2P协议的异形攻击漏洞钓鱼攻击Phishing

欧盟宣布欧洲区块链监管沙盒的第一批20个用例:7月5日消息，欧盟委员会宣布欧洲区块链监管沙盒的第一批20个用例。沙盒将使监管者能够增强对涉及DLT的尖端技术的了解。参与的监管机构将分享经验教训，帮助欧盟委员会确定最佳实践。该沙箱建立了泛欧洲监管对话框架，以提高创新区块链解决方案的法律确定性。该沙箱由数字欧洲计划资助并实施中小企业战略，将于2023年至2026年运行，每年支持20个项目，包括欧洲区块链服务基础设施上的公共部门用例。[2023/7/6 22:20:08]

所谓“钓鱼攻击(Phishing)”，指的是攻击者伪装成可以信任的人或机构，通过电子邮件、通讯软件、社交媒体等方式，以获取收件人的用户名、密码、私钥等私密信息。随着技术的发展，网络钓鱼攻击不仅可以托管各种恶意软件和勒索软件攻击，而且更糟糕的是这些攻击正在呈现不断上升的趋势。2018年2月19日，乌克兰的一个黑客组织，通过购买谷歌搜索引擎中与加密货币相关的关键词广告，伪装成合法网站的恶意网站链接，从知名加密货币钱包Blockchain.info中窃取了价值超过5000万美元的数字加密货币。而除了上述这种域名钓鱼攻击(即使用与官网相似的网址)外，其他类型的钓鱼攻击包括邮件钓鱼攻击、Twitter1for10、假App和假工作人员等。2019年6月份，就有攻击者向多家交易所发送敲诈勒索信息，通过邮件钓鱼攻击获取了超40万美元的收益。慢雾安全团队建议用户保持警惕，通过即时通讯App、短信或电子邮件获取到的每条信息都需要谨慎对待，不要在通过点击链接到达的网站上输入凭据或私钥，在交易时尽可能的使用硬件钱包和双因素认证(2FA)，生态中的项目方在攻击者没有确切告知漏洞细节之前，不要给攻击者转账，若项目方无法准确判断和独自处理，可以联系安全公司协助处理。木马攻击TrojanHorseAttack

声音 | 京都大学教授：研究区块链有助于应对新兴科技带来的巨大变革:京都大学教授岩下直行目前正在领导京都大学实施Ripple的大学区块链研究计划（UBRI）。岩下直行认为，传统机构正处于新兴科技带来的巨大变革之中，这种不稳定需要具有重叠专门知识领域的人员和机构将其转化为积极的变革。对区块链的研究可以推动这一演变，因为它迫使人们研究经济、商业和法律等相关领域。此外，学生们还可以被迫以不同的方式思考教育，利用他们对区块链的了解来解决更大的问题，如气候变化或全球难民问题。[2019/12/5]

木马攻击(TrojanHorseAttack)是指攻击者通过隐藏在正常程序中的一段具有特殊功能的恶意代码，如具备破坏和删除文件、发送密码、记录键盘和DDoS攻击等特殊功能的后门程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病的计算机实施操作。可用来窃取用户个人信息，甚至是远程控制对方的计算机而加壳制作，然后通过各种手段传播或者取目标用户执行该程序，以达到盗取密码等各种数据资料等目的。在区块链领域，诸如勒索木马、恶意挖矿木马一直是行业内令人头疼的安全顽疾，据币世界报道，随着比特币的飙升，推动整个数字加密货币价格回升，与币市密切相关的挖矿木马开始新一轮活跃，仅2019年上半年挖矿木马日均新增6万个样本，通过分析发现某些新的挖矿木马家族出现了快速、持续更新版本的现象，其功能设计越来越复杂，在隐藏手法、攻击手法方面不断创新，与杀软厂商的技术对抗正在不断增强。供应链攻击SupplyChainAttack

行情 | 美股区块链概念股涨跌各异:今日美股收盘，美股区块链概念股涨跌各异。柯达收跌1.24%，埃森哲收跌0.06%，Overstock.com收跌0.79%，Riot Blockchain收涨4.93%，Marathon Patent收涨9%，Square收涨0.49%。[2019/11/23]

供应链攻击(SupplyChainAttack)是一种非常可怕的攻击方式，防御上很难做到完美规避，由于现在的软件工程，各种包/模块的依赖十分频繁、常见，而开发者们很难做到一一检查，默认都过于信任市面上流通的包管理器，这就导致了供应链攻击几乎已经成为必选攻击之一。把这种攻击称成为供应链攻击，是为了形象说明这种攻击是一种依赖关系，一个链条，任意环节被感染都会导致链条之后的所有环节出问题。供应链攻击形式多样，它可能出现在任何环节。2018年11月，Bitpay旗下Copay遭遇供应链攻击事件，攻击者的攻击行为隐匿了两个月之久。攻击者通过污染EvenStream(NPM包)并在后门中留下针对Copay的相关变量数值，对Copay发起定向攻击从而窃取用户的私钥信息。而就在2019年6月4日，NPMInc安全团队刚与Komodo联手成功挫败了一起典型的供应链攻击，保护了超过1300万美元的数字加密货币资产，攻击者将恶意程序包放入Agama的构建链中，通过这种手段来窃取钱包应用程序中使用的钱包私钥和其他登录密码。供应链攻击防不胜防且不计代价，慢雾安全团队建议所有数字加密货币相关项目(如交易所、钱包、DApp等)都应该强制至少一名核心技术完整审查一遍所有第三方模块，看看是否存在可疑代码，也可以通过抓包查看是否存在可疑请求。

动态 | 区块链技术下的跨境支付摒弃中转银行实现交易，可节省大量手续费:中国民用航空网援引麦肯锡报告《区块链：银行业游戏规则的颠覆者》称，区块链技术在B2B跨境支付与结算业务中的应用将使每笔交易成本从约26美元下降到15美元，其中约75%为中转银行的支付网络维护费用，25%为合规、差错调查，以及外汇汇兑成本。区块链技术下的跨境支付摒弃中转银行实现交易，因此可以节省大量手续费，对于利润微薄的OTA行业来说来说，可以带来更高的成本效益。[2019/9/26]

标签：区块链ATT加密货币TAC区块链dapp开发合法吗matter币未来价值加密货币是不是局3023tac币最新消息今日

芝麻开门交易所热门资讯